WordPress на сегодняшний день является самой популярной блог-платформы.
Будучи популярным, в системе есть своими сильные и слабые стороны. Сам факт того, что почти каждый использует его, делает его более склонным к атакам. Разработчики WordPress делают большую работу по фиксации и латание дыр, когда обнаруживаются новые недостатки, но это не значит, что вы можете просто установить и забыть.
В этом посте, мы расскажем вам некоторые из наиболее распространенных способов защиты сайта на WordPress.
Само собой разумеется, что вы всегда должны реализовать SSL, если вы собираетесь сделать что – нибудь больше, чем просто случайный блог. Вход в систему на ваш сайт, не используя шифрованное соединение выставляет свое имя пользователя и пароль открытым текстом. Любой на данный момент может открыть свой пароль. Это особенно актуально, если вы занимаетесь серфингом через Wi-Fi или если вы подключены к общественной точке доступа, то есть вероятность того, что вы будете взломаны. Прочитайте статью о том как получить сертификат доверенного SSL от Let’s Encrypt.
Разработанный сторонними разработчиками плагин по качеству и безопасности всегда под вопросом и зависит исключительно от опыта его разработчика. При установке каких-либо дополнительных плагинов следует тщательно выбирать плагин и принимать во внимание его популярность, а также как часто плагин поддерживается. Плохо обслуживаемые плагины следует избегать, поскольку они более склонны к ошибкам и уязвимостям, которые могут быть легко взломаны.
Эта тема также как дополнение к предыдущей теме о SSL, так как многие плагины неправильно разработаны в той степени, что они содержат скрипты, которые могут явно запросить небезопасные соединения (HTTP). Кажется, все хорошо до тех пор, пока ваш сайт станет доступен через HTTP. Однако, как только вы решили реализовать шифрование и принудительный доступ SSL, который может привести к немедленной поломки сайта, потому что сценарии в плагинах будет продолжать выполнять свои запросы через HTTP, тогда как остальная часть вашего сайта доступна через HTTPS.
Будучи разработанной Feedjit Inc., Wordfence является самым популярным плагином безопасности WordPress сегодня, и нужно обязательно иметь для каждого серьезного сайта WordPress, особенно для тех , которые используют WooCommerce или другую платформу электронной коммерции в WordPress. Wordfence это не просто плагин, он скорее предлагает набор функций безопасности, которые позволят укрепить ваш сайт. Он имеет брандмауэр веб-приложений, сканер вредоносных программ, живой анализатор трафика и множество дополнительных инструментов, которые могут улучшить безопасность вашего сайта. Брандмауэр блокирует вредоносные попытки входа в систему по умолчанию, и даже может быть настроен, чтобы блокировать целые страны по их диапазонам IP – адресов. Что нам действительно нравится в Wordfence, что даже если ваш сайт находится под угрозой по какой – то причине т.е. с вредоносных скриптов, Wordfence может найти после сканирования и очистить ваш сайт от зараженных файлов.
Компания предлагает платные и бесплатные планы подписки для плагина, но даже со свободным планом, ваш сайт будет обеспечен на удовлетворительном уровне.
Еще один шаг к защите вашей WordPress бэкэнда, это дополнительно защитить паролем другие каталоги (чтение URL – адресов), которые не предназначены для использования кем – либо еще , кроме вас. Каталог /wp-admin в этом списке один из критических каталогов. Если вы не позволяете WordPress вход для обычных пользователей, вы должны ограничить файл wp.login.php с дополнительным паролем. Используете ли вы Apache или Nginx, вы можете посетить эти две статьи, чтобы узнать, как дополнительно защитить установку WordPress.
Это довольно простой способ для злоумышленника, обнаружить действительные имена пользователей на вашем сайте, (читайте, чтобы узнать имя пользователя администратора). Итак, как это работает? Это просто. На любом сайте WordPress укажите /?author=1 после основного URL. Примером может быть: andreyex.ru/?author=1
Для того, чтобы защитить ваш сайт от этого, просто установите плагин Disable XML-RPC.
RPC расшифровывается как удаленных вызовов процедур, это протокол, который одна программа может использовать, чтобы запросить услугу от программы, расположенной на другом компьютере в сети. С точки зрения WordPress, XML-RPC позволяет размещать на своем блоге WordPress с использованием популярных клиентов веб-блогов как Windows Live Writer, но он также необходим, если вы используете WordPress как мобильное приложение. XML-RPC был отключен в более ранних версиях, но в WordPress версии 3.5 она включена по умолчанию, что позволяет провести атаки на ваш сайт. Хотя различные исследователи в области безопасности советуют, что если вы не собираетесь использовать клиенты веб-блогов или WP Mobile App, вы должны отключить службу XML-RPC.
Есть несколько способов сделать это , и самое простое было бы просто установить плагин Disable XML-RPC.